防火墙NAT策略

📒博客主页： 微笑的段嘉许博客主页

🎉欢迎关注🔎点赞👍收藏⭐留言📝

📌本文由微笑的段嘉许原创！

📆CNDS首发时间：🌴2022年9月30日🌴

✉️坚持和努力一定能换来诗与远方！

🙏作者水平很有限，如果发现错误，一定要及时告知作者哦！感谢感谢！

⭐本文介绍⭐

​ 人类对计算机网路的使用已经拓展到各个领域，而计算机网络的设计者在当时无法想象网络能有今天的规模。任何一个接入互联网的计算机、lpad、手机及安卓电视，要想在互联网中畅游，必须有一个合法的IP地址。而IP地址，曾经认为足以容纳全球的计算机，但是在今天看来，已经严重枯竭。IPv6的出现就是为了解决地址不足的问题。但在IPv6普及之前，需要有一个过渡技术——NAT。NAT的出现缓解了地址不够用的情况，它可以让同一局域网内60000多用户同时使用一个合法P地址访问互联网。NAT技术不是新技术，对于我们来说也并不陌生，文本重点介绍华为的NAT技术。

📝理论讲解：

NAT概论：

​ NAT技术是用来解决当今IP地址资源枯竭的一种技术，同时也是IPv4到IPv6的过渡技术，绝大多数网络环境中在使用NAT技术。关于NAT技术的原理在之前的文章中已经有所提及，本文的重点放在华为相关的NAT知识和实验配置上。

NAT分类

​ 在内外网的边界，流量有出、入两个方向，所以NAT技术源地址转换和目标地址转换两类。一般情况下，源地址转换主要用于解决内部局域网计算机访问Internet的场景；而目标地址转换主用于解决Internet用户访问局域网服务器的场景，目标地址通常被称为服务器地址映射。
​ 华为支持的源地址转换方式有如下几类:

• NAT No-PAT：类似于Cisco的动态转换，只转换源IP地址，不转换端口，属于多对多转换，不能节约公网IP地址，实际情况下使用较少，主要适用于需要上网的用户较少，而公网地址又足够的场景下。
• NAPT (Network Address and Port Translation，网络地址和端口转换)；类似于Cisco的PAT转换，NAPT既转换报文的源地址，又转换源端口。转换后的地址不能是外网接口IP地址。属于多对多或多对一转换，可以节约IP地址，使用场景较多，主要适用于内部大量用户需要上网，同时仅有少数几个公网P地址可用的场景下。
• 出接口地址(Easy-IP)：因其转换方式非常简单，所以也称为Easy-IP，和NAPT一样，既转换源IP地址，又转换源端口。区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的P地址，属于多对一转换，可以节约IP地址，主要适用于没有额外的公网地址可用，内部上网用户非常多的场景下，直接通过外网接口本身的IP地址作为转换目标 。
• Smart NAT(智能转换)：通过预留一个公网地址进行NAPT转换，而其他的公网地址用来进行 NAT No-PAT 转换其主要用于平时上网用户比较少，而申请的公网地址基本可以满足这些少量用户进行NAT NO-PAT转换，但是偶尔会出现上网用户倍增的情况。
• 三元组NAT：与源IP地址、源端口和协议类型有关的一种转换，将源IP地址和源端口转换为固定公网IP地址和端口，能解决一些特殊应用在普通NAT中无法实现的问题。其主要用于外部用户访问局域网用户的一些P2P应用。

路由黑洞

NAT对报文的处理流程

防火墙接口从收到一个报文到最终发送出去需要经历一系列处理流程，而NAT 只是其中的一项任务。NAT的配置受到路由及安全策略的影响，所以了解NAT对报文的处理流程对配置NAT 有非常大的帮助。NAT对报文的处理流程如图所示。

• 防火墙收到报文后，首先检查报文是否匹配Server-map中的条目，如果是，则根据表项转换报文的目标地址，然后进行步骤(3)处理；否则进行步骤(2)处理。
• 查找是否存在目标NAT的相关配置，如果是，并且符合NAT条件，则转换目标地址后进行步骤(3)处理;否则直接进行步骤(3)处理。
• 根据报文的目标地址查找路由表，如果存在目标路由，则进行步骤(4)处理；否则丢弃报文
• 依次匹配安全策略中的规则，如果策略允许报文通过，则进行步骤(5)处理；否则丢弃报文。
• 查找是否存在源NAT的相关配置及是否符合NAT条件，如果是，则转换源地址后进行步骤(6)处理；否则直接进行步骤(6)处理。
• 在发送报文之前创建会话，后续和返回的报文可以直接匹配会话表转发。
• 防火墙发送报文。

📢友情提示：

​ 因为防火墙处理报文的顺序是目标地址转换→安全策略→源地址转换，所以在NAT环境中，安全策略的源地址应该是源地址转换之前的地址，目标地址应该是目标地址转换之后的地址。

📖实验配置与实现：

拓扑图：

推荐步骤：

路由器配置IP地址，将防火墙接口加入指定的区域配置IP地址，内网服务器配置为FTP和web服务器，外网服务器配置web服务器使用内网client1访问内网服务器是否正常，client2访问外网web服务器是否正常

防火墙访问外网使用默认路由，路由器访问内网使用静态路由，防火墙设置安全策略允许内网访问外网使用ping命令测试全网互通

防火墙配置Easy-IP的NAT将内网访问外网的流量映射到防火墙外网接口上查看会话表验证

防火墙配置Nat Server将web01服务器的80和21端口分别映射到外网IP地址192.168.100.3和192.168.100.4的80端口和21号端口外网客户端访问验证

实验步骤：

一、路由器配置IP地址，将防火墙接口加入指定的区域配置IP地址，内网服务器配置为FTP和web服务器，外网服务器配置web服务器使用内网client1访问内网服务器是否正常，client2访问外网web服务器是否正常

1、将防火墙接口加入指定的区域

1）进入到Trust区域

2）接口加入到区域

3）配置IP地址

4）进入到untrust区域

5）接口加入到区域

6）配置IP地址

7）查看配置的IP地址

2、路由器配置IP地址

1）路由器配置IP地址

2）查看配置的IP

3、内网服务器配置为FTP和web服务器

1）配置web01服务器

2）配置ftp服务器

3）Client1配置IP 地址

4）PC1配置IP地址

5）web02 配置IP地址

6）PC2配置IP地址

7）client2配置IP地址

4、使用内网client1访问内网服务器是否正常

1）使用client1访问内网服务器

5、client2访问外网web服务器是否正常

1）使用client2访问外网服务器

二、防火墙访问外网使用默认路由，路由器访问内网使用静态路由，防火墙设置安全策略允许内网访问外网使用ping命令测试全网互通

1、防火墙访问外网使用默认路由，路由器访问内网使用静态路由

1）在防火墙上配置一条去外网的默认路由

2）R1配置一条去10.0网络的静态路由

2、防火墙设置安全策略允许内网访问外网防火墙设置安全策略允许内网访问外网

1）允许内外网络ping防火墙

2）设置安全策略

3、使用ping命令测试全网互通

1）测试全网互通

三、防火墙配置Easy-IP的NAT将内网访问外网的流量映射到防火墙外网接口上查看会话表验证

1、防火墙配置Easy-IP

1）配置NAT策略

2、验证

1）查看防火墙状态化连接表

四、防火墙配置NatServer将web01服务器的80和21端口分别映射到外网IP地址192.168.100.3和192.168.100.4的80端口和21号端口外网客户端访问验证

1、防火墙配置Nat Server发布web服务器

1）将内网服务器192.168.10.2的80端口映射到外网IP地址192.168.100.3的80端口

2）配置安全策略允许外网访问网站

3）外网接允许http协议访问

4）查看server-map

5）验证

2、防火墙配置NAT Server发布ftp服务器

1）将内部ftp服务器192.168.10.2的21号端口映射到192.168.100.4的21号端口

2）配置安全策略允许访问ftp

3）配置应用层检测

4）验证

🙏作者水平很有限，如果发现错误，一定要及时告知作者哦！感谢感谢！